現在位置: ホーム / ニュース / Plone Hotfix 20110928 (2011年10月4日)

Plone Hotfix 20110928 (2011年10月4日)

今年に入り、数件出ていますセキュリティHotfixですが、先日新たな物が発表されました。

セキュリティ脆弱性アナウンス: 20110928 - 任意のコードが実行される

http://plone.org/products/plone/security/advisories/20110928 ページの翻訳(主要部分のみ)です。

Zope 2.12.x 及び 2.13.x は、匿名ユーザに任意のコードが実行される脆弱性があります。

この脆弱性に対する修正プログラムは、2011年10月4日(火) 15:00 (UTC)にリリースされました。(http://plone.org/products/plone-hotfix/releases/20110928)

これは、認証していない攻撃者が注意深く念入りに作られたWebリクエストを利用し、Zope/Ploneの特権を持って任意のコマンドを実行可能となる、深刻な脆弱性です。

CVE-2011-3587

影響するバージョン : Plone 4.0 (through 4.0.9); Plone 4.1; Plone 4.2 (a1 and a2); Zope 2.12.x and Zope 2.13.x.

影響受けないバージョン : Zope 2.12 又は Zope 2.13を使用しないPlone。

事前のアナウンス : 問題の深刻度を鑑みて修正パッチ(このページで2011年10月4日 15:00 UTCにリリース予定)の発行前に事前警告の意味で情報提供をしています。

あなたが何をパッチプログラムの有効性を持つか

自然発生的脆弱性の為に、セキュリティチームは、詳細が明らかになる前の修正が完了する前に事前アナウンスをすることを決めています。 これは、ユーザ関係者は、リリースまで計画することがきます。 修正パッチのリリース後に詳細な脆弱性の公開をする予定です。修正パッチのインストール時には、サイトが完全に使用できなくなるので、30分程度のメンテナンスがあることを事前に利用者にアナウンスすることをお勧めします。

サイトを守るために以下の手順を実行する事を 強く 推奨します。

  1. Zope/Ploneサービスが最低限の権限で起動している事を確認します。理想的には、Zope又はZEOサービスは、ログとデータベースフォルダに書込権限だけとすべきです。
  2. 非認証ユーザ変更のためのキー監視して有無のような侵入検知システムを使います。
  3. Zopeやリバースプロキシーのリクエストや例外的なログを監視します。

このケースの場合、様々なシステム使うべきで標準的な予防措置です。

最近のPloneのバグフィックスを改めてまとめます

Plone Hotfix 20110928 (Oct 04, 2011)

  • バージョン : Plone 4.0.x series <= 4.0.9, 4.1 <= 4.1, 4.2 <= 4.2a2.
  • 影響 : 大
  • 概要 : 匿名ユーザが任意のコードを実行できる。Zopeに依存する問題。

Plone Hotfix 20110622 (Jun 28, 2011)

  • バージョン : Plone 4.0.x series <= 4.0.7, 4.1 <= RC1, 3.x series <= 3.3.5.
  • 影響 : 大
  • 概要 : - zope.interface の InterfaceClass クラスを経由して、獲得(acquisition)されるオブジェクトが、セキュリティ監査されていない場合がある。 - zope.traversing の namespaceパッケージにあるクラスを一部不正使用される可能性がある。

Plone Hotfix 20110531 (Jun 01, 2011)

  • バージョン : Plone series 4.x <= 4.0.5, 3.x <= 3.3.5, 2.5.x.
  • 影響 : 大
  • 概要 : - XSS関連(2件) - ユーザデータの書換権限(Plone4以降) - 他ユーザに認証させなく出来る(Plone2.5-Plone4)

Plone Hotfix CVE-2011-0720 (Feb 08, 2011)

  • バージョン : Plone 4.x series <= 4.0.3, 3.x series <= 3.3.5, 2.5.x series, 2.1, 2.0.
  • 影響 : 大
  • 概要 : - Zope Publisherが持つバグ(Plone3.0以降(Zope2.10以降)のみ) - Ploneコード内のセキュリティ宣言の甘さの修正 - 日本語情報(http://plone.jp/news/plone-security-2011-0720)

Plone Hotfix 20100612 (Jun 19, 2010)

  • バージョン : Plone 3.x series <= 3.3.5, 2.5.x, 2.1.
  • 影響 : 中
  • 概要 : HTMLフィルタリングの不具合。safe_html 関係のバグ。

下記サイト(英語)に情報及び対策プロダクトがまとめっています。 http://plone.org/products/plone-hotfix/releases